Windows Safe Mode File رمزگذاری یک سلاح جدید

webiyan مارس 29, 2021 0 Comments

گروه REvil سلاح جدیدی به زرادخانه باج افزار خود اضافه کرده است. محققان کشف کرده اند که REvil بدافزار خود را به روزرسانی کرده است تا بتواند پرونده ها را در حالت ایمن ویندوز رمزگذاری کند. این کار احتمالاً برای فرار از شناسایی از نرم افزارهای امنیتی و اطمینان از موفقیت بیشتر در فرآیند رمزگذاری انجام شده است. پنجره ها. همچنین ممکن است سرپرستان برای اجرای کارهای اجرایی و تشخیصی ، رایانه را در حالت Safe Mode راه اندازی مجدد کنند. به طور معمول برای عیب یابی مشکلات ویندوز و مشخص کردن اینکه چه چیزی مانع از عملکرد صحیح آن می شود ، استفاده می شود.

در حالت ایمن ، ویندوز فقط نرم افزارهای اساسی و درایورهای مورد نیاز سیستم عامل را بارگیری می کند. برای REvil مهم است ، هر برنامه ای که برای شروع خودکار در ویندوز نصب شده باشد ، مانند نرم افزار آنتی ویروس ، در حالت Safe Mode اجرا نمی شود. بدافزار گروه اکنون می تواند ماشین های ویندوز را در Safe Mode راه اندازی مجدد کند.

برای رسیدن به این REVil ، دو خط فرمان جدید به باج افزار خود اضافه کرده است ، یعنی AstraZeneca و Franceisshit. MalwareHunterTeam توضیح داد: "" AstraZeneca "برای اجرای خود نمونه باج افزار در حالت safe و" Franceisshit "برای اجرای یک دستور در حالت safe استفاده می شود تا کامپیوتر پس از راه اندازی مجدد بعدی در حالت عادی اجرا شود." 19659004] REvil از راه دور دستگاه را در حالت Safe Windows (حالت ایمن) راه اندازی مجدد می کند اما برای اجرای باج افزار به کاربران نیاز دارد تا به ویندوز وارد شوند. پس از ورود کاربر ، رمزگذاری پرونده ها آغاز می شود. در حالی که باج افزار اجرا می شود ، تا زمانی که رمزگذاری دستگاه به پایان نرسد ، کاربر قادر به راه اندازی برنامه دیگری نیست. پس از پایان کار ، دستگاه به طور خودکار مجدداً به حالت عادی راه اندازی می شود. با این حال ، دستگاه یک یادداشت باج در دسک تاپ و پرونده های رمزگذاری شده نشان می دهد.

Safe Mode Encryption Tactic Unusual

کارشناسان امنیت سایبری حدس می زنند که REvil با راه اندازی مجدد سیستم ، دستگاه ها را به حالت Safe Mode تبدیل می کند تا از شناسایی آنتی ویروس و سایر نرم افزارهای امنیتی جلوگیری کند. علاوه بر این ، اریش کرون از شرکت امنیتی KnowBe4 توضیح می دهد که: "راه اندازی مجدد رایانه ویندوز در حالت ایمن می تواند نرم افزاری را غیرفعال کند ، حتی به طور بالقوه حتی آنتی ویروس یا نرم افزار ضد باج افزار است که برای ایمن سازی رایانه شما کار می کند. سپس این امر به مهاجمان اجازه می دهد تا تغییراتی ایجاد کنند که در غیر این صورت ممکن است در حالت معمول اجرا مجاز نباشد. "

با این حال ، REvil اولین گروه باج افزار نیست که از چنین روشهایی استفاده می کند. یک نوع باج افزار Snatch از Safe Mode در سال 2019 استفاده کرده است. با این وجود ، کارشناسان استفاده از REvil را بسیار گیج کننده می دانند ، زیرا این امر به ورود کاربران به دستگاهها پس از راه اندازی مجدد گروه در حالت Safe Mode متکی است.

علاوه بر این ، به محض ورود کاربران ، صفحه خالی ظاهر می شود وارد ویندوز شوید. و در حالی که رمزگذاری می شوند ، هارد دیسک دستگاه ها به سختی کار می کنند. در نتیجه ، به کاربران هشدار داده می شود که چیزی کاملاً درست نیست و ممکن است دستگاهها را خاموش کرده و روند رمزگذاری را متوقف کند.

REvil Targets

جالب است که گفته می شود یکی از اعضای گروه REVil در مصاحبه ای اعلام کرده است که این گروه بخصوص شرکت های دارای باج افزار را هدف قرار می دهد بیمه دلیل این امر این است که REvil معتقد است شرکتهایی که دارای بیمه هستند ، مانند Deep Instinct ، بیشتر از شرکتهای فاقد پرداخت هزینه پرداخت می کنند. وی چنین حملاتی را "خوشمزه ترین لقمه ها" توصیف کرد. وی گفت: "به ویژه برای هک کردن بیمه ها در ابتدا – مشتری خود را بدست آورید و از آنجا به صورت هدفمند کار کنید. وی گفت: "بعد از اینکه لیست را مرور کردید ، خود بیمه گر را بزنید."

شرکت های بیمه در گذشته مورد حمله قرار گرفته اند. به عنوان مثال ، بیمه Chubb سال گذشته توسط گروه باج افزار Maze مورد حمله قرار گرفت.